$ curl -s https://goolge.ca | wc
0 0 0
$ curl -vs https://goolge.ca
. . .
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, bad certificate (554):
* SSL certificate problem: EE certificate key too weak
* Closing connection 0
$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 10 (buster)
Release: 10
Codename: buster
为什么会出现这个EE certificate key too weak问题?
但那一个CA certificate key too weak,我不知道它是否和...相同EE certificate key too weak。
答案1
默认情况下,Debian 已将 OpenSSL 配置为安全级别 2,提供 112 位安全性。这意味着,如果 TLS 连接中涉及的密钥之一(在本例中为服务器密钥(最终实体证书))提供的安全级别低于 112 位(通常是因为证书是小于 2048 位的 RSA 密钥),那么它将被拒绝。
由于 112 位安全级别如今甚至低于建议的 128 位最低级别,而此服务器甚至低于该级别,因此最好的办法是联系服务器管理员并要求他们生成新的 TLS 证书。有了这种不安全的证书,大型公司或政府可能只需付出一些努力就能破解密钥,从而欺骗连接。
如果您无法做到这一点,您可以使用 降低安全级别curl --ciphers DEFAULT@SECLEVEL=1。请注意,这样做意味着您实际上接受了您的连接并不完全安全,并且容易受到篡改。